Under Tripnets kunskapsfrukost på skärtorsdagen står NIS2-direktivet på agendan. Rikard Bodforss, CEO på Bodforss Consulting, berättar om EU:s nya lagstiftning och vem den påverkar. Vilka åtgärder behöver du ta till och vilka konsekvenser kan det få att bryta mot de nya lagarna? Han har ett tydligt råd: vänta inte!
Läget i världen är oroligt och krigsföringen är inte bara fysisk med bomber utan också i högsta grad digital. Cyberattacker blir allt vanligare, och det gäller att följa med i utvecklingen. När det ser ut som det gör är det viktigt med ökad cybersäkerhet. Därför har EU tagit fram det nya NIS2-direktivet, som de klubbade i december 2022. I Sverige kommer lagen att träda i kraft den första januari 2025.
Vad är NIS2-direktivet?
NIS2-direktivet (Network and Information Systems Directive 2) är en uppdatering av EU:s ursprungliga NIS-direktiv som syftar till att stärka cybersäkerheten inom unionen. Direktivet infördes för att hantera den ökande hotbilden mot IT-system och för att säkerställa en hög gemensam nivå av säkerhet inom EU. Den nya lagstiftningen utökar räckvidden till fler sektorer och verksamheter, inför strängare säkerhetskrav och incidentrapportering, samt sanktioner och ökat samarbete mellan medlemsstater.
NIS2-direktivet är en del av EU:s övergripande strategi för digital säkerhet och ska bidra till att skapa en säkrare digital miljö för företag och medborgare i hela unionen.
Vem omfattas av NIS2-direktivet?
Väsentliga och samhällsviktiga entiteter med fler än 50 anställda eller med en årsomsättning på mer än tio miljoner euro omfattas, berättar Rikard. Offentliga verksamhetsutövare som statliga myndigheter, regioner och kommuner omfattas av lagen, med vissa undantag för beslutsfattande organ som till exempel kommunfullmäktige. Inom den privata sektorn omfattas verksamheter som uppfyller kraven för medelstora företag och tillhör någon av kategorierna ”högkritiska sektorer” eller ”andra kritiska sektorer”. Till de högkritiska sektorerna hör bland annat energi, transporter, digital infrastruktur och bankverksamhet. Exempel på andra kritiska sektorer är avfallshantering, tillverkande industrier och forskning. Dock finns det undantag som kan göra att man omfattas trots att man till exempel inte uppfyller kraven för ett medelstort företag, till exempel om man arbetar med DNS-tjänster eller domännamnsregistrering. Därför är det viktigt att noggrant säkerställa om ditt företag omfattas eller inte.
Vilka åtgärder krävs? - Hög informationssäkerhet en bra början
Det finns en mängd åtgärder att ta till om NIS2-direktivet omfattar ditt bolag. Minimiåtgärderna som man måste följa är följande:
- Riskanalys och incidenthantering: Att ha ett ledningssystem för informationssäkerhet som är riskbaserat är en bra lösning. Man behöver ha ett fungerade system för att upptäcka risker och hantera incidenter. Dessutom är det viktigt att bedöma effektiviteten i bolagets riskhanteringsåtgärder.
- Anmälningsplikt: Ansvaret att anmäla till tillsynsmyndigheten att man omfattas av direktivet ligger på den enskilda entiteten.
- Rapporteringsskyldighet: Om en incident uppstår har ditt bolag en skyldighet att anmäla den inom 24h från att den upptäckts, sedan ska rapporten uppdateras inom 72h och sedan en slutrapport skickas in.
- Utbildning: Ledningen ska utbildas i det nya direktivet, och kunskapen ska erbjudas till alla anställda så att alla kan förstå.
- Säkerhet i leveranskedjan: För att säkerställa säkerheten i alla led i leveranskedjan är det viktigt att ställa krav på att leverantörer följer direktiven.
- Driftskontinuitet: Var förberedd, se till att dina system är uppdaterade och glöm inte säkerhetskopiering. Öva på krishantering för att säkerställa att du har de rutiner och processer som du kan behöva i alla lägen. Du kan hitta inspiration i denna bloggartikel.
- Kryptografi/kryptering: Säkerställ att du krypterar information och informationsöverföringar som är känsliga.
- Personalsäkerhet: Säkerställ att du har god informationssäkerhet som ger dig åtkomstkontroll och kontroll över dina olika informationstillgångar.
- Multifaktorautentisering: Använd alltid multifaktorautentisering när det är tekniskt möjligt.
Skillnaden mellan NIS och NIS2
NIS2 har kommit med en del förbättringar jämfört med NIS. Minimikrav för säkerhetsåtgärder och koll på kontroll i leveranskedjor har tillkommit. En annan skillnad är att man har tydliggjort vem som omfattas för att undvika kryphål samt specificerat rapporteringsskyldigheter. Ett nytt organ, EU-CyCLONe, ska inrättas för att hantera storskaliga cybersäkerhetsincidenter och det tillkommer ökade rättsmedel och sanktioner för att se till att lagarna följs. Rikard lyfter fram att samarbetet mellan medlemsstater, myndigheter och entiteter är viktigt, för att vi tillsammans ska kunna hantera hot från främmande makter, som till exempel säkerhetshotet från Ryssland.
Vilka konsekvenser kan det få att bryta mot NIS2?
Om man omfattas av NIS2-direktivet men inte följer det kan man drabbas av en rad konsekvenser. Först är ett föreläggande, som Rikard beskriver som en pekpinne som förklarar att man har gjort fel. Man kan också drabbas av förbud mot ledningsfunktion, alltså att personer i ledande ställning får sparken, och sanktionsavgifter. Avgifterna är varierande, och beror på vilken kategori entiteten klassas under.
Vad gör jag nu?
Rikard uppmuntrar alla att genomföra åtgärderna även om direktivet inte omfattar ditt bolag. Detta eftersom åtgärderna gör dig bättre rustad mot det växande cybersäkerhetshotet. Vänta inte, utan genomför åtgärderna direkt. Om du är osäker på om ditt bolag omfattas av direktivet så finns det hjälp att få, antingen av Rikard eller av någon annan. Anpassa ditt bolag för framtiden, följ NIS2-direktivet.
Hör Rikard berätta om sin checklista för vad man ska göra i klippet här under.